样本分析

–天融信阿尔法实验室 CFF

0×00 概述

Conficker蠕虫从08年爆发，后续衍生了A、B、C、D等多个变种；本以为早已经灭绝的东西，竟然在朋友的重要服务器中被发现，果真是百足之虫死而不僵，继续拿来练练手。

服务器上感染的是Conficker.B变种，其利用MS08-067漏洞进行传播，同时通过移动驱动器和网络共享进行传播。蠕虫使安全服务失效，阻止访问与安全相关的网站。病毒利用访问控制列表锁住被感染机器上的病毒文件，防止病毒文件被删除。并且在特定时间之后会访问随机生成的网址，由于域名生成是精心构造的伪随机算法，可以部署相应的域名，来达到下载并执行程序。

0×01 运行流程[......]

Read more

天融信阿尔法实验室 陈峰峰

0×00 概述

这是@neteagle捕获的一个样本，好奇索要过来看看，简单分析了一下；这是一个带感染功能的后门程序。由于其传播名称eraseme_%d%d%d%d%d.exe，所以我们称之为Eraseme后门。这是我第一份分析报告，感谢hj大侠和段哥的指导。分析中如有不对的地方也望各位指出。

样本主要包含三个程序：

PE程序（PE0）：外壳程序，主要负责释放PE1

PE程序（PE1）：核心程序，负责感染、控制，使用UPX减小体积，释放SYS1

驱动程序（SYS1）：修改系统TCPIP并发最大连接数

0×01 程序运[......]

Read more

                                                                                          文/图 天融信阿尔法实验室    李明政

一  前言

二  功能性shellcode的概念

三  高级语言的选择

四[......]

Read more